IPV4 & FIREWALL
Le
philafil
Bonjour,
Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des
tables avec les poules d'adresses assignées, au divers acteurs du net
?
Et pour une connection adsl au niveau du firewall, est qu'il vaud
mieux faire un drop sur les paquets bloqués ou répondre, quel est le
mieux et pourquoi ?
merci de votre aide
philippe
Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des
tables avec les poules d'adresses assignées, au divers acteurs du net
?
Et pour une connection adsl au niveau du firewall, est qu'il vaud
mieux faire un drop sur les paquets bloqués ou répondre, quel est le
mieux et pourquoi ?
merci de votre aide
philippe
Poser une question
On 14 Jun 2004 09:39:53 -0700, philippe
Les bases whois de RIPE, ARIN, APNIC et AFRINIC sont là pour ça, oui. Mais
pour quoi faire?
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Bonsoir,
poules ? ;)) C'est « pool » ou en bon français plage d'adresses IP.
Je vous invite à visiter le lien suivant en particulier la rubrique IP
ADDRESS ALLOCATIONS pour avoir les listes officielles des plages d'IP
allouées ou réservées :
http://www.iana.org/ipaddress/ip-addresses.htm
Il faut répondre, selon le protocole et le type de paquet, par un message
icmp {port,net,host,proto}-unreachable ou un TCP RST.
Pourquoi répondre ? Parce que c'est la moindre des politesses, parce que ça
facilite les communications entre les hôtes et parce qu'aussi on se conforme
aux RFC.
De plus, « droper » à tout va peut avoir des conséquences désagréables comme
des temps d'attente longs, comme par exemple le cas d'une requête ident
envoyée par certains services ftp, mail et web et qui timeout après
plusieurs secondes bloquant ainsi la connexion.
Bien sûr, si l'hôte distant abuse par exemple en effectuant un scan sauvage
ou prohibé, ou un déni de service (SYN flood, icmp flood, ...) alors il faut
« droper » ces paquets.
C'est pourquoi, il faut répondre mais en créant une règle dans le firewall
qui limitera le nombre de réponses maximales dans un temps donné.
Sous Linux, cela se fait facilement en utilisant la cible REJECT et
l'option --reject-with, et le match limit et l'option --limit
quantité/temps.
De rien.
--
TiChou
Ouais, ben j'ai configuré mon bô firewall avec soin et amour pour qu'il
fasse tout ça (faut avoir envie, parce que c'est vachement plus facile
de tout DROPer), mais les sites de scan que j'ai essayés pour vérifier
s'il n'y avait pas de gros trou béant ont tous viré au rouge en disant
"Houla attention ma bonne dame, votre adresse répond au ping, c'est
dangereux, et les ports fermés répondent fermé, c'est risqué, n'importe
qui sait que vous êtes là ! Ça va pas du tout, il faut TOUT BLOQUER"
C'est moi ou il y a un peu de parano (ou ils ont des trucs à vendre) ?
Bien bien. :)
C'est toujours plus facile de mal faire son travail. :)
Normal, surtout si la machine héberge des services.
Dangereux si on ne filtre pas les paquets icmp-echo qui seraient trop gros
et si on ne les limite pas en quantité.
Oui, vous êtes là. Et alors ? Ça change quoi ?
Celui qui s'intéresserait à votre machine et qui tenterait de faire quelque
chose sait déjà que vous êtes là et ce n'est pas en « dropant » que vous
allez le tromper, bien au contraire, car à partir du moment où vous vous
camouflez, c'est que vous craignez quelque chose et vous savez bien que la
nature humaine est d'autant plus curieuse et insistante quand on lui tente
de cacher des choses.
Quant aux scripts kiddies, ils passeront vite leur chemin.
De plus, le fait d'appartenir à certaines plages d'IP ou d'avoir un reverse
sur son IP est déjà suffisant pour savoir que vous existez alors inutile de
vouloir à tout prix se cacher.
Oui, c'est la solution du pauvre. :)
La parano est la première des qualités à avoir en sécurité, mais faut-il
qu'elle se base sur des choses cohérentes. ;)
Possible. En règle général il faut se méfier de ces sites, ils ne sont
utiles que pour se donner une idée rapide des éventuelles failles d'une
machine.
--
TiChou
Un site qui date un peu, mais avec encore de bonnes informations:
http://www.flumps.org/ip/
L'original (ipindex.net) ayant disparu dans le cyber espace :
Cdlt,
--
Guillaume Gielly